Xplain-Hack: Jedes zweite Datenobjekt war sensitiv

Nach dem Hackerangriff auf die Firma Xplain hat das Bundesamt für Cybersicherheit (BACS) gestern einen Bericht zur Datenanalyse herausgegeben. Der Bericht zeigt auf, welche Art von Verwaltungsdaten betroffen waren, und beschreibt die Herausforderungen bei der Durchführung der Datenanalyse.

Wir erinnern uns: Die Hackergruppierung «Play» hat mit einem Ransomware-Angriff auf die Firma Xplain Daten gestohlen und am 14. Juni 2023 mutmasslich das gesamte entwendete Datenpaket im Darknet veröffentlicht. Laut BACS befanden sich darunter auch klassifizierte Informationen sowie besonders schützenswerte Personendaten aus der Bundesverwaltung.

Relevanz der Daten

Dem Bericht zufolge umfasste das im Darknet veröffentlichte Paket ein Datenvolumen von rund 1.3 Millionen Objekten. Nach dem Download der Daten erfolgte unter Federführung des Nationalen Zentrums für Cybersicherheit (NCSC), dem Vorläufer des heutigen BACS, die systematische Kategorisierung und Triage aller für die Bundesverwaltung relevanten Dokumente.

Daraus geht hervor, dass die für die Bundesverwaltung relevante Datenmenge rund 65’000 Dokumente und somit ca. 5 Prozent des gesamten veröffentlichten Datenbestands umfasst. Davon gehören die meisten Objekte mit einem Anteil von über 70 Prozent der Firma Xplain (47’413 Objekte) und rund 14 Prozent und somit 9’040 Objekte der Bundesverwaltung.

Von den Objekten der Bundesverwaltung seien rund 95 Prozent den Verwaltungseinheiten des Eidgenössischen Justiz- und Polizeidepartementes (EJPD) – dem Bundesamt für Justiz, Bundesamt für Polizei, Staatssekretariat für Migration und dem internen Leistungserbringer ISC-EJPD – zuzuordnen. Mit etwas mehr als 3 Prozent der Daten sei das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) leicht und die übrigen Departemente mengenmässig nur marginal betroffen.

In 5’182 Objekten und somit in rund der Hälfte der Objekte der Bundesverwaltung wurden laut BACS sensitive Inhalte wie Personendaten, technische Informationen, klassifizierte Informationen und Passwörter gefunden. Davon enthielten den Angaben des Berichts zufolge 4’779 Objekte, Personendaten wie Name, E-Mail, Telefonnummer, Adresse, usw. 278 Objekte würden in die Kategorie der technischen Informationen wie Dokumentationen von IT-Systemen, Anforderungsdokumente zu Applikationen oder Architekturbeschreibungen fallen. 121 Objekte seien gemäss Informationsschutzverordnung klassifiziert. Immerhin vier Objekte würden lesbare Passwörter enthalten.

Herausforderungen der Analyse

Für die Beantwortung der Frage, von wem welche Daten in welchem Ausmass abgeflossen sind, war den Angaben des BACS zufolge ein beträchtlicher Analyseaufwand nötig. Unstrukturierte Datensätze hätte man mit Hilfe von geeigneten Instrumenten aufbereiten und lesbar machen müssen. Anschliessend mussten die als relevant identifizierten Objekte manuell gesichtet und kategorisiert werden. Bei der Bewältigung des Sicherheitsvorfalls unter der Leitung des NCSC hätten die verschiedenen betroffenen Bundesämter und Leistungserbringer eng zusammengearbeitet.

Um die Ereignisse rund um den Datenabfluss bei Xplain umfassend aufzuarbeiten, hat der Bundesrat am 28. Juni 2023 einen politisch-strategischen Krisenstab «Datenabfluss» (PSK-D) mandatiert und am 23. August 2023 eine Administrativuntersuchung angeordnet. Die Administrativuntersuchung soll bis Ende März 2024 abgeschlossen werden. Nach deren Durchführung wird der Bundesrat über die Ergebnisse und Empfehlungen informiert, damit er über die Folgen der Administrativuntersuchung entscheiden kann.